P2S連接配接
一、概念解析
1.什麼是P2S
P2S(person to site)是個人到站點的連接配接,通過vpn軟體,将你的裝置連入特定内網。
2.什麼是S2S
P2S(site to site)是站點到站點的連接配接,通過vpn網關,實作兩個站點的連接配接。
3.什麼是peering
peering(對等連接配接):對等連接配接(Peering Connection)是一種大帶寬、高品質的雲上資源互通服務,可以幫助您打通雲上的資源通信鍊路。對等連接配接是指兩個VPC之間的網絡連接配接。您可以使用私有IP位址在兩個VPC之間進行通信,就像兩個VPC在同一個網絡中一樣。同一區域内,您可以在自己的VPC之間建立對等連接配接,也可以在自己的VPC與其他帳戶的VPC之間建立對等連接配接。不同區域間的VPC之間不能建立對等連接配接。兩個網絡内的資源可互相通路。 對等連接配接具有多區域、多賬戶、多種網絡異構互通等特點,輕松實作雲上兩地三中心、遊戲同服等複雜網絡場景。
二、通路方式
如下圖所示,網絡A中存在許多内網資源,我們需通路其中的資料,可以通過兩種方式。
方式一S2S:将你的裝置(如電腦)網絡連接配接到處于已經和網絡A做好S2S的網絡B中,這時你的裝置内網ip便處于網絡B網段的子網中,這樣既可借助網絡B為跳闆連接配接到網絡A,來擷取網絡A中的資源。
這種做法的優點是:簡單友善。使用者隻要處在網絡B中,無需任何配置即可通路網絡A的資源(因為網絡管理者已經配置好網絡B和網絡A的vpn網關及網絡B的路由),無論多少人隻要連接配接到網絡B無需其他操作即可通路網絡A資源。缺點是你隻能在網絡B中才能通路網絡A,當你出差或者下班不在公司的網絡B中,就無法通路網絡A資源。
方式二P2S:将你的電腦直接連接配接到網絡A中。此時你需要下載下傳vpn軟體。vpn是Virtual Private Network虛拟私有網絡的簡稱。而連接配接到虛拟私有網絡的軟體就叫做vpn軟體。通過它你就就能連接配接到特定網絡中。這種做法的優點是無需固定地點,你在世界上任意地方都可通路網絡2資源。缺點是需要自行下載下傳vpn軟體并配置賬号密碼等,較為麻煩。
三、動手實戰
P2S及peering實戰操作:通過微軟Azure建立兩個雲上虛拟網絡Vnet1和Vnet2,并且在Vnet1與Vnet2之間做對等連接配接,添加Vnet1到Vnet2的下一跳路由使得使用者可不經過Vnet1直接通路Vnet2。
〇、準備工作
登入
微軟Azure官方網站中國大陸版,右上角點選
登陸Azure門戶。若無賬Azure賬号,請先
注冊。
一、建立虛拟網絡
1.進入Azure首頁,點選或搜尋“虛拟網絡”。請勿選擇”虛拟網絡(經典)”。
2.點選"添加",建立虛拟網絡。
3.選擇一個訂閱和資源組,若無請建立。這裡我建立了一個Azure Study的訂閱和test-abc的資源組。(資源組是存放本資源組建立的所有資源的,類似檔案夾)
4.給虛拟網絡命名,這裡我命名為abc-vnet1,區域我選擇中國東部2。
5.進入位址頁面,建立ipv4位址空間,即建立私網網段。私網網段有且隻有10.*.*.* 172.16.*.* 192.168.*.* 這三類(網絡基礎知識,不太懂的同學請學習一下ip位址的知識)。我選擇建立10.10.0.0/16。
6.[安全組]和[标記]保持預設,點選下一步即可。最後确認無誤後點選“建立”。
7.等待一會兒,顯示部署完成,說明成功建立abc-vnet1。M
8.同樣的方式再建立一個abc-vnet2,網段我選擇10.21.0.0/16,不能與之前建立的abc-vnet1重複。
二、建立虛拟機
9.同樣搜尋框搜尋"虛拟機"
10.點選 "添加"
11.輸入配置資訊,名稱可随意,這裡我命名為abc-vnet1-vm,位址同樣選擇中國東部2,因為是實驗,鏡像我選擇centos,虛拟機根據需求選擇,我選擇最便宜的一個。
12.身份驗證類型選擇密碼,輸入自己密碼。選擇允許標明的端口。點選下一步磁盤
13.磁盤我選擇最便宜的标準HDD。單擊下一步。
14.虛拟網絡選擇abc-vnet1,子網選擇abc-vnet1-sbu,此時會自動配置設定一個公用ip,這是你的公網ip,當時我們此次試驗用不上,不管他。
15.單擊下一步,管理 進階 和标記都保持預設即可。
16.确認資訊無誤後點選建立。
17.等待部署完成,大約需要1-2分鐘。檢視虛拟機,可以看到已建立成功。
18.同樣步驟建立第二個虛拟機,命名為abc-vnet2-vm
19.虛拟網絡選擇abc-vnet2,子網為abc-vnet2-sub。其他設定同第一台虛拟機一樣。
20.檢視虛拟機abc-vnet2-vm。建立成功。
三、建立虛拟網絡網關
21.搜尋虛拟網絡網關,進入并點選添加。
22.輸入自定義名稱,這裡我設定為abc-Gateway。SKU保持預設Vpn-Gw1。虛拟網絡選擇abc-vnet1,系統預設會勾選'建立公共IP',選擇之前的訂閱、資源組,位置需要選擇于之前建立abc-vnet1同樣的區域即'中國東部2',否則位置不同不可使用。點選建立。
23.系統提示正在部署。注:網關建立需要至少45分鐘的時間,請耐心等待。
24.建立成功後,可在虛拟網絡網關中看見abc-Gateway。
四、建立生成并導出用戶端根證書
建立自簽名根證書
25.打開powershell,輸入命如下令,并且請勿關閉視窗。
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign 生成用戶端證書
26.在視窗中繼續輸入如下指令:
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") 導出根證書公鑰 (.cer)
27.使用 PowerShell 鍵入“certmgr” 。會打開證書程式。按照如圖所示順序進行操作。
28.在上一步點選導出後,會彈出證書導出向導,點選下一步。
29.導出私鑰視窗中選擇 不,不要導出私鑰
30.選擇 Base64編碼X.509(.CER)(S),點選下一步。
31.設定導出路徑和檔案名。這裡我選擇導出到桌面,檔案名設定為rootcertificate.cer。點選下一步。
32.提示導出成功。
33.在設定的導出路徑下會看到如下的.cer證書。
34.使用記事本打開,會開到類似如下資訊,若不對說明之前操作步驟有問題請檢查。
五、導出自簽名根證書
35.如圖所示,選擇 用戶端身份驗證 檔案,如圖所示進行導出。
36.選擇是,導出私鑰
37.按照圖中勾選設定。
38.輸入自定義密碼,用于以後安裝時驗證。
39.選擇儲存路徑,這裡我選擇儲存在桌面并命名為clientcert.pfx
40.确認資訊,完成導出。
41.可以在路徑下看的如圖所示的檔案,說明導出成功。
六、添加用戶端位址池
42.點選abc-Gateway虛拟網絡網關→使用者vpn配置,立即配置。
43.此時打開cmd指令行工具,輸入ipconfig檢視IPv4的位址。這裡為172.16.網段,記住此網段。(注:這裡應當根據設定的子網網段)
44.使用記事本方式打開rootcertificate.cer,負責圖中藍色部分。
45.回到虛拟網絡網關 黏貼至 公共證書資料,位址池填入剛剛的位址池(注:為了友善做教程我的位址池直接設定了/16的子網路遮罩位數,各位請根據自己企業網絡下的網段進行精确設定。)點選儲存,這需要較長時間,請耐心等待。
七、安裝vpn并檢視P2S連接配接狀态
46.建立成功後,點選下載下傳vpn用戶端。
47.打開下載下傳好後的檔案,64位電腦選擇 VpnClientSetupAmd64.exe 進行安裝。
48.安裝完成後可在右下角網絡圖示中看到VPN點選進去。進入頁面,點選連接配接。确認連接配接成功。
50.在cmd中鍵入
ipconfig/all
,可以看到有PPP擴充卡abc-vnet1說明vpn連接配接成功
52.回到虛拟機1,檢視專用IP位址為10.20.0.6,我們ping一下。可以看到已經ping成功。說明電腦到abc-vnet1的網絡連接配接成功。
53.回到虛拟機2,檢視專用IP位址為10.21.0.4,我們嘗試ping一下。可以看到ping不同通,說明abc-vnet1和abc-vnet2現在還為連通。我們将在接下來的步驟中進行設定。
54.打開
C:\Users\>使用者名>\AppData\Roaming\Microsoft\Network\Connections\Cm\<GUID串>
可以看到我們abc-vnet1的網段資訊。隻有10.20.0.0,沒有abc-vnet2的10.21.0.1,顯然這是無法連通的,是以我們要進行對等連接配接配置。
八、建立對等連接配接
55.選擇abc-vnt1,點選對等,添加。
56.從abc-vnet1到abc-vnet2的名稱我命名為1to2,自然對端虛拟網絡選擇abc-vnet2。從abc-vnet2到abc-vnet1的名稱我命名為2to1,abc-vnet1中勾選 允許網關傳輸。确定儲存
57.可以看到已經建立好1to2的對等了。
58.進入abc-vnet2檢視也成功建立2to1的對等。
59.進入詳情檢視abc-vnet2,檢視是否已經勾選使用遠端網關,若無,請勾選。
九、檢視結果
60.回到虛拟網絡網關,再次 下載下傳vpn用戶端,安裝,連接配接vpn。
61.連接配接vpn成功後,打開
routes.txt
檔案,可以看到已經成功添加abc-vnet2網段10.21.0.0
62.此時我們ping一下
10.20.0.6
和
10.21.0.4
都成功ping通,說明已經成功打通本機到
abc-vnet1
,
abc-vnet1
到
abc-vnet2
,本機直接到vnet2的道路。
十、實驗成功!
最後檢視一下網絡拓撲圖
溫馨提示:朋友們在做完實驗後若不需要資源,請記得删除哦,否則按量付費的費用時間久了可是很可觀的.
今天的科普就到這裡,由于本人自身知識儲備有限,文字難免會有些疏漏和錯誤,還請各位朋友多多指正!希望這篇文章對你有所幫助。在以後的文章中,我将向大家講解更多有關雲産品的選擇、使用、注意事項等,希望大家能喜歡,一鍵三連多多支援。謝謝!